XSS 漏洞挖掘 文章目录 XSS 漏洞挖掘漏洞挖掘 漏洞挖掘 //有输入框的地方就可以尝试一下输入 js 语言 <script>alert()</script> 但是在真实环境中由于对方服务器可能存在waf,直接输入script标签会被对方封禁ip,所以需要测试存在漏洞与否。 接下来我们以pikachu 靶场为例 输入一个球星 我们这里输入科比时发现他给我们原样返回了,我们可以看一下源码文件 这样我们就可以判断出存在xss漏洞了,直接js语句安排 因为有限制长度为20,我们需要把限制放大才可以输入